В апреле главными «игроками» на вирусной арене, как и ранее, стали представители почтовых червей семейств Win32.Dref и Win32.HLLM.Limar. Однако, на этот раз в их противостоянии проявились новые особенности — Win32.Dref стал распространяться в виде запароленного ZIP-архива с указанием пароля в графическом файле. Такой приём хоть и является не новым (его «изобрели» авторы другого семейства почтовых червей Win32.HLLM.Beagle), однако позволил Win32.Dref в первые дни достаточно успешно распространиться, поскольку далеко не все антивирусные продукты смогли обеспечить детектирование их на почтовых серверах.
Проблема детектирования таких модификаций Win32.Dref в антивирусе была решена выпуском специальной записи, позволяющей детектировать такие архивы — Win32.Dref.pswzip. В свою очередь, Win32.HLLM.Limar преподнёс весьма неприятный сюрприз — исходное тело червя было заражено полиморфным файловым вирусом Win32.Virut. Таким образом, пользователи получили комплект два в одном. Кроме того, в середине месяца Win32.HLLM.Limar вновь стал безоговорочным лидером всего инфицированного почтового трафика. Пиковые значения в отдельные дни превышали 80%-ю отметку. График «Динамика развития эпидемии Win32.HLLM.Limar»(смотрите его в новостной рубрике на сайте компании: http://info.drweb.com/show/3064/ru) демонстрирует динамику развития — эпидемия Win32.HLLM.Limar является краткосрочной, но, тем не менее, Win32.HLLM.Limar известен внезапностью своего появления и масштабностью распространения. Достаточно вспомнить ситуацию, сложившуюся осенью 2006 года, когда новая модификация Win32.HLLM.Limar появлялась практически ежедневно вызывала массовость заражений. Следует также отметить появление новой модификации почтового червя Win32.HLLM.Graz. Это появление прошло практически незаметным и предпосылок для эпидемии не возникло.
В этом месяце продолжилось распространение скриптового червя VBS.Igidak. По сравнению с предыдущим месяцем, его присутствие оказалось не столь масштабным, однако тенденциозным стал метод обеспечения автозапуска в поражённой системе — на локальных дисках создаётся конфигурационный файл autorun.inf, в котором прописан путь к исполняемой части червя. Кроме того, и исполняемая часть червя, и сам конфигурационный файл являются скрытыми. Поскольку, по умолчанию, в стандартном Проводнике Windows и большинстве файловых менеджеров отображение файлов, имеющих атрибуты системных или скрытых, отключено, то своевременное обнаружение посторонних файлов становится проблематичным. Подобный метод инфицирования системы заложен в других представителях вредоносных программ — Trojan.Recycled и Trojan.Corruptor. В апреле возросло примерно на 20% количество загрузчиков, скачивающих вредоносные программы для похищения паролей к банковским системам (Trojan.PWS.Banker), а также загрузчиков, скачивающие программы для рассылки спама с поражённого компьютера — Trojan.Spambot.
Итоги спам-активности в апреле 2007 года
В подавляющем большинстве случаев спам-соообщения, поступающие на анализ в компанию «Доктор Веб» — это реклама различных сервисов и услуг. Практически 80% спам-писем — это письма в виде графического изображения. Такой приём используется спамерами для обхода спам-фильтров, основанных на байесовских алгоритмах распознавания нежелательной корреспонденции. Кроме того, встречаются различные комбинаторные варианты — «прореживание» текста в теме писем пробелами, применение текста разных цветов писем. Направленность англоязычной спам-корреспонденции преимущественно связана с медицинскими сервисами, в то время как русскоязычная корреспонденция связана с целым спектром услуг:
— коммерческая деятельность
— туры и путешествия
— определение значение фамилии человека
— предметы быта
В апреле 2007 года вирусная база Dr.Web пополнилась 9973 записями.
Краткая таблица результатов онлайн-проверки за месяц:
| Наименование вируса | Количество |
|---|---|
| Win32.HLLM.Limar | 591 |
| VBS.Psyme.239 | 268 |
| Trojan.Virtumod | 240 |
| Trojan.Spambot | 177 |
| Trojan.Peflog.31 | 147 |
| Win32.HLLM.Wukill | 128 |
| VBS.Igidak | 79 |
| Win32.HLLM.Graz | 65 |
| Trojan.PWS.Maran | 53 |
| Win32.HLLP.Jeefo.36352 | 47 |
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в апреле 2007 года:
| Наименование вируса | % от общего кол-ва вирусов |
|---|---|
| Win32.HLLM.Limar | 35.11 |
| Win32.HLLM.Beagle | 11.88 |
| Win32.HLLM.Netsky.35328 | 9.91 |
| Win32.HLLM.Perf | 6.83 |
| Win32.HLLM.MyDoom.based | 5.45 |
| Win32.HLLM.Netsky.based | 4.61 |
| Win32.HLLP.Sector | 4.42 |
| Win32.Hazafi.30720 | 3.61 |
| Win32.HLLM.Graz | 2.29 |
| Win32.HLLM.MyDoom.49 | 2.26 |
| Win32.HLLM.MyDoom.33808 | 2.09 |
| Win32.HLLM.Limar.based | 1.13 |
| Trojan.Spambot | 1.01 |
| Win32.Grum | 0.85 |
| Exploit.IframeBO | 0.70 |
| Win32.HLLM.Netsky | 0.54 |
| Exploit.MS05-053 | 0.53 |
| Win32.HLLM.Beagle.pswzip | 0.50 |
| Exploit.IFrame | 0.40 |
| Win32.HLLM.Oder | 0.33 |
| Прочие вредоносные программы | 5.55 |